毛豆战蝗虫？

小静电

最近在样本区看到有人说有针对hips的病毒，并且eq竟然阻止不了？
那我就试一试我的毛豆行不行》呵呵，不过我是在虚拟机中测试的，单位的机器中了病毒就不好了，而且还会感染局域网的其它机器
那我可就万劫不复了，闲话少说，立即开始测试，高手可以直接飘过了，此贴只针对小白们如何来区分正常文件与病毒之间的区别所测，
其中限于本人水平有限，肯定有不少错误的地方，恳请各位指出，不惜赐教。谢谢大家了。



























[ 本帖最后由 ubuntu 于 2009-1-14 16:39 编辑 ]

Magis

LZ可以用CIMA的在线沙盘分析，很省事，这个样本被分析得也差不多了。
不能给主题贴加分，回复下，我给你加人气。
佩服lz的钻研精神，特别是每个行为下的附语，写得很好。

lixiang1977

楼主的这个测试精彩！
不过virus.exe什么时候释放的TXPlatform.exe？是一开始就有两个病毒文件吗？
这个病毒好像没有加载驱动？
样本在哪可以下载？

Magis

应该是http://bbs.kafan.cn/thread-405173-2-1.html这个吧，lz的services.exe应该是在windows system application组里，所以加驱没有提示（默认driver installation是allow的，services是否需要改成ask，这里不要继续了，论坛里有相关讨论。）

引用贴32L（感谢星星） ，CIMA的分析显示
[Drivers Loaded]
  * !!! 0xf9fab000|0x1000|0x1004000|\??\c:\z1.tmp

小静电

这个应该是第二张图，
我自己不知道如何编辑了
请版主给理顺以下顺序吧。

小静电

原帖由 lixiang1977 于 2009-1-13 11:22 发表
楼主的这个测试精彩！
不过virus.exe什么时候释放的TXPlatform.exe？是一开始就有两个病毒文件吗？
这个病毒好像没有加载驱动？
样本在哪可以下载？

不好意思病毒还会释放一个autorun文件，可是我的block中添加了这个文件，
好在这个不影响测试，只不过一个是自动运行，一个是手动运行。
样本区，搜索蝗虫，就可以了，实机最好不要测试，会很麻烦的。

小静电

至此，我想到很有必要在全局规则中，添加对毛豆、杀软、反黑工具等的目录保护。

lixiang1977

哦，那个访问服务控制应该就是安装驱动吧？

lixiang1977

原帖由 magiscoldeye 于 2009-1-13 11:29 发表
应该是http://bbs.kafan.cn/thread-405173-2-1.html这个吧，lz的services.exe应该是在windows system application组里，所以加驱没有提示（默认driver installation是allow的，services是否需要改成ask，这里不要继续 ...

前些天看到一个贴子里说驱动的文件必须是*.sys，看来不是这样啊！

周勃

是我说的。
你搞清楚了没有？你怎么不看前提条件？
驱动文件可以是任何后缀名，甚至是没有后缀名的。
但通过SERVICES.EXE加载的驱动，一定是SYS后缀名的。